|
|
PKI是通過使用公開密鑰技術和數位憑證來確保系統資訊安全並負責驗證數位憑證持有者身份的一種體系。例如,某企業可以建立公鑰基礎設施(PKI)體系來控制對其電腦網路的訪問。在將來,企業還可以通過公鑰基礎設施(PKI)系統來完成對進入企業大門和建築物的提貨系統的訪問控制。
PKI讓個人或企業安全地從事其商業行為。企業員工可以在網際網路上安全地發送電子郵件而不必擔心其發送的資訊被非法的第三方(競爭對手等)截獲。企業可以建立其內部Web站點,只對其信任的客戶發送資訊。
PKI採用各參與方都信任一個同一CA(認證中心),由該CA來核對和驗證各參與方身份的身份這種信任機制。例如,許多個人和企業都信任合法的駕駛證或護照。這是因為他們都信任頒發這些證件的同一機構--政府,因而他們也就信任這些證件。然而,一個學生的學生證只能被核發此證的學校來進行驗證。數位憑證也一樣。
通過公鑰基礎設施(PKI),交易雙方(可能是線上銀行與其客戶或者是雇主與其雇員)共同信任簽發其數位憑證的認證中心(CA)。典型的是採用數位憑證的應用軟體和CA信任有相同的機制。例如,用戶端瀏覽器中根憑證列表中包含了它所信任CA的根憑證,當瀏覽器需要驗證一個數位憑證的合法性(假如說要進行線上安全交易)的時候,此瀏覽器首先從其根憑證列表中查找簽發該數位的認證中心根憑證,如果該認證中心根憑證存在於瀏覽器的根憑證列表中並驗證通過後,瀏覽器承認此站點的具有合法身份並顯示此站點的網頁。如果該認證中心根憑證不存在信任CA根憑證列表中,瀏覽器會顯示警告資訊並詢問是否要信任這個新的認證中心。通常地,瀏覽器會彈出提供永久的信任、臨時的信任或或不相信該認證中心的選項對話方塊給客戶選擇,因為作為客戶來說,們權選擇信任哪些認證中心,而信任的處理工作通過應用軟體來完成(在這個例子中是通過瀏覽器完成的)。
返回頂部
加密技術是使資料不可讀的處理過程。有許多不同的(和複雜的)打亂和恢復資訊的方法。
在網際網路上,加密技術主要有兩種用途。一種是訪問使用了伺服器憑證的安全Web站點(例如線上購物),故稱之為伺服器端加密技術。另一種用於接收和發送加密電子郵件。這兩種用途中的加密處理方法都包含了交換公鑰過程。
在加密過程中,使用公鑰或私鑰來加密資訊,反之使用與之相同的私鑰或公鑰來解密資訊。這看起來像是用一把鑰匙上鎖而用另一把鑰匙開鎖。例如,當訪問一個安全Web站點時,用戶端電腦接收到這個Web站點的公鑰(公鑰存儲在憑證裏),用戶端電腦對WEB站點發送的資訊使用WEB站點的公鑰加密,解密這些資訊的唯一方法是Web站點使用他們的私鑰。
同樣的處理方法也適用于安全電子郵件。在向其他人發送加密資訊之前,你需要得到包含其公鑰的數位憑證,電子郵件應用軟體使用其公鑰對資訊進行加密處理,發送後,接收者使用他們的私鑰對資訊進行解密,不掌握接收者私鑰的其他方都無法完成該資訊的解密工作。由此,你可以向希望給你發送郵件的人發送你的數位憑證。值得注意的是,你務必請保護好自己的私鑰,因為它用於發送給你的資訊。
返回頂部
當使用一個程式對資訊進行數位簽名時,至少要將數位憑證的公共部分和其他資訊加在一起,才能確認郵件資訊的完整性。
在郵件資訊和數位憑證發送之前,資訊要經過散列演算法的加密,就是將所要發送的資訊經過算術處理產生一個特徵序列,這個序列是唯一的,只能由原文產生。產生的序列叫做資訊摘要。
必須知道散列演算法只能單向快速的運行,但很難逆向運算恢復原文。這就是說,電子郵件程式可以將郵件資訊經過散列演算法快速產生唯一的資訊摘要。然而,如果只有資訊摘要,要數年的時間才能解密得到原文。
程式產生資訊摘要之後,就用發送者的私鑰對資訊摘要加密,這是特別重要的。如果只發送郵件和資訊摘要,別人可以很容易的修改資訊原文,重新產生一個資訊摘要,並以你的身份發送出去。
如果只對郵件進行數位簽名而不進行加密,電子郵件應用會將數位憑證和簽名後的資訊摘要作為附件隨郵件明文一起發送,因此,別人仍然能閱讀資訊的內容(有效的解決方法是在簽名後加上加密選項)。
當接受方收到郵件時,用發送方的數位憑證(公鑰)解密資訊摘要進行驗證。然後程式用相同的散列演算法計算郵件的資訊摘要,並比較結果。如果產生了的資訊摘要和郵件所含的資訊摘要是相同的,那麼說明郵件在傳輸過程中沒有被篡改,由此保證了資訊確實是由驗證該資訊對應的公鑰持有著(憑證持有著)發送的。
返回頂部
當與其他個人或企業通過網路環境進行通信時,需要建立一個安全的交換資訊通道來保證不會有第三方非法用戶截獲和讀取資訊,現在最先進的加密資料的方法是通過使用密鑰對方式。密鑰對包含一個公鑰和一個私鑰。我們可把開鎖的鑰匙比作密鑰,不同的是密鑰是一對鑰匙,一把用於鎖門來保證安全,即加密;而另一把用語開門,即解密。
應用軟體使用密鑰對中的一個密鑰來加密文件。必須用用與之相同的另一個密鑰來解密資訊。但怎樣才能保證資訊被安全地發到資訊接受方而途中不被他人截獲?
通過使用密鑰對就可解決上述問題。當申請一個數位憑證時,瀏覽器產生一個私鑰和一個公鑰。私鑰只被憑證申請者使用,而公鑰會成為數位憑證的一部分。瀏覽器會要求你提供一個在你訪問私鑰時的口令,該口令只有自己知道,這點是非常重要的(口令不要是自己的生日或別人容易猜到的數位或字母)。
收到並安裝數位憑證後,把數位憑證發給任何需要發送資訊給你的人。在數位憑證中包含了用於加密資訊的公鑰。別人給你發送資訊時會使用你的公鑰對資訊進行加密。因為只有你有與之相同的私鑰,所以只有你才能夠解密用你的公鑰加密的資訊。
同樣的,當你想要向別人發送加密的資訊,你必須首先獲得他們的公鑰。你可以在目錄中伺服器中(一般,CA系統在簽發憑證的同時會將該憑證發佈到公開的目錄伺服器中供其他客戶查詢、下載用)查找他們的數位憑證。如果你只有經過簽名處理的電子郵件,你的電子郵件應用軟體一般會自動的保存發送方的數位憑證。
返回頂部
數位憑證,有時被稱為數字身份證,是一個符合一定格式的電子檔,用來識別電子憑證持有者的真實身份。一些軟體程式 用數位憑證來向其他人或企業證明憑證持有者的身份。這裏是兩個普通的例子:
使用線上銀行系統時,銀行必須確認客戶的真實身份,通過身份核實後的客戶才能進入線上銀行的相關頁面進行相應的帳戶管理操作,如:轉帳、查詢帳務。這就像駕駛執照或是護照一樣,數位憑證向線上銀行證實了你的真實身份。
當要給別人發送重要的電子郵件時,電子郵件程式會用你的數位憑證對郵件資訊進行簽名。數位簽名有兩個作用:很容易證明郵件是由你發送的,還能證明電子郵件在傳送的時候沒有受到篡改。
一個數位憑證一般包括下列內容:
- 你的公鑰
- 你的名字和電子郵件位址
- 公鑰的有效期限
- 發證機構的名稱
- 數位憑證的序列號
- 發證機構的數位簽名
返回頂部
Secure socket layer(SSL)協定最初由Netscape企業發展,現已成為網路用來鑒別網站和網頁瀏覽者身份,以及在瀏覽器使用者及網頁伺服器之間進行加密通訊的全球化標準。由於SSL技術已建立到所有主要的瀏覽器和WEB伺服器程式中,因此,僅需安裝數位憑證,或伺服器憑證就可以啟動伺服器功能了。
返回頂部
伺服器憑證是安裝在你的WEB伺服器上,你可將伺服器憑證視為一種可以讓訪問者利用網頁瀏覽器來驗證網站真實身份的數位證明,且可以通過伺服器憑證進行具有SSL加密的通訊過程。
返回頂部
讓使用者確認WEB伺服器的身份。具有SSL功能的軟體(如WEB網頁瀏覽器程式)會依照列在這類程式中受信任的認證中心根憑證列表,來自動檢驗伺服器的數位憑證是否有效,且是通過適當的認證中心(如迅通誠信)所發行。鑒別伺服器身份在安全電子交易環境中,對於使用者而言是非常重要的一環。例如,當使用者欲傳送自己的信用卡資訊給網站伺服器之前一定會想先確認該伺服器的身份如何。
要求所有在用戶端及伺服器之間所傳遞的資訊由傳送端軟體加密,以及由接受端軟體解密。如此可以保護資訊不會在網路上截獲。另外,所有在SSL聯機中所傳遞的資訊亦需要對資訊完整性進行驗證,SSL會自動檢測資訊在傳遞途中是否有遭到修改的危險。如此以來,使用者可以安心地將個人資料(如信用卡資訊)傳遞到網站上,並信任SSL機制會保護這些資訊的隱私及安全性。
返回頂部
- 用戶連接到你的Web站點,該Web站點受伺服器憑證所保護。(可由查看 URL的開頭是否為"https:"來進行辯識,或瀏覽器會提供你相關的資訊)。
- 你的伺服器進行回應,並自動傳送你網站的數位憑證給用戶,用於鑒別你的網站。
- 用戶的網頁瀏覽器程式產生一把唯一的"會話鑰匙碼",用以跟網站之間所有的通訊過程進行加密。
- 使用者的瀏覽器以網站的公鑰對交談鑰匙碼進行加密,以便只有讓你的網站得以閱讀此交談鑰匙碼。
- 現在,具有安全性的通訊過程已經建立。這個過程僅需幾秒中時間,且使用者不需進行任何動作。依不同的瀏覽器程式而定,使用者會看到一個鑰匙的圖示變得完整,或一個門栓的圖示變成上鎖的樣子,用於表示目前的工作階段具有安全性。
返回頂部
私用數位憑證都是由企業內的私用認證中心發行,而所有的私用數位憑證都與其根CA公鑰連結在一起,以辨識是機構在管理憑證的層級。當您購買了憑證伺服器並開始運作之後,您就可以建立起自己的根CA公鑰。然而,您必須將根CA公鑰發送給所有能接收並辨識私用數位憑證的軟體才行。這對於使用S/MIME格式的安全電子郵件會產生一個極大問題,因為幾乎企業中的每一個人都有對外送電子郵件的機會,而這些企業外部電子郵件收信人的應用程式並沒有您企業的根CA公鑰。所以,私用數位憑證比較適合注重企業內部聯繫的企業使用。
相較下,迅通誠信代理的Geotrust公用數位憑證的根CA公鑰早就嵌入到能支援憑證的主要應用程式中了,包括網景公司和微軟公司的網頁瀏覽器及電子郵件程式,以及將近四十家的網頁伺服器廠商。公用數位憑證比較適合供常需與外界聯繫的企業的應用環境使用。由迅通誠信簽發中心簽發的數位憑證在國內範圍內的所有客戶都有相同的根憑證,因此都可以很容易互相認證,比較適合供常需與外界聯繫的企業的應用環境使用。例如安全電子郵件就是一個例子,因為使用者除了在企業內發送訊息之外,也常須對外界發送電子郵件。
返回頂部
|
|
|
|